Μια νέα επίθεση πλευρικού καναλιού που ονομάζεται “RAMBO” (Radiation of Air-gapped Memory Bus for Offense) παράγει ηλεκτρομαγνητική ακτινοβολία από τη μνήμη RAM μιας συσκευής για την αποστολή δεδομένων από air-gapped υπολογιστές.
Δείτε επίσης: Η RansomHub πίσω από την επίθεση στην Planned Parenthood;
Τα συστήματα air-gapped, που χρησιμοποιούνται συνήθως σε κρίσιμα περιβάλλοντα με εξαιρετικά υψηλές απαιτήσεις ασφαλείας, όπως κυβερνήσεις, οπλικά συστήματα και πυρηνικούς σταθμούς, είναι απομονωμένα από το δημόσιο Διαδίκτυο και άλλα δίκτυα για την πρόληψη μολύνσεων από κακόβουλο λογισμικό και την κλοπή δεδομένων.
Αν και αυτά τα συστήματα δεν είναι συνδεδεμένα σε ένα ευρύτερο δίκτυο, μπορούν να μολυνθούν από αδίστακτους υπαλλήλους, που εισάγουν κακόβουλο λογισμικό μέσω φυσικών μέσων (μονάδες USB) ή εξελιγμένες επιθέσεις στην αλυσίδα εφοδιασμού που πραγματοποιούνται από κυβερνητικούς hackers.
Η επίθεση RAMBO μπορεί να λειτουργεί κρυφά για να διαμορφώνει τα στοιχεία RAM του συστήματος με τρόπο που να επιτρέπει τη μεταφορά μυστικών αρχείων από τον υπολογιστή σε έναν κοντινό παραλήπτη.
Η πιο πρόσφατη μέθοδος που εμπίπτει σε αυτή την κατηγορία επιθέσεων προέρχεται από ισραηλινούς ερευνητές πανεπιστημίου με επικεφαλής τον Mordechai Guri, έναν εμπειρογνώμονα στα κανάλια κρυφών επιθέσεων που ανέπτυξε προηγουμένως μεθόδους διαρροής δεδομένων χρησιμοποιώντας LED κάρτας δικτύου, σήματα RF μονάδας USB, καλώδια SATA και τροφοδοτικά.
Πώς λειτουργεί η επίθεση RAMBO
Για να πραγματοποιήσει την επίθεση Rambo, ένας εισβολέας εγκαθιστά κακόβουλο λογισμικό στον air-gapped υπολογιστή, για να συλλέξει ευαίσθητα δεδομένα και να τα προετοιμάσει για μετάδοση. Μεταδίδει τα δεδομένα χειραγωγώντας τα μοτίβα πρόσβασης στη μνήμη (λειτουργίες ανάγνωσης/εγγραφής στο δίαυλο μνήμης) για τη δημιουργία ελεγχόμενων ηλεκτρομαγνητικών εκπομπών από τη μνήμη RAM της συσκευής.
Αυτές οι εκπομπές είναι ουσιαστικά υποπροϊόν του κακόβουλου λογισμικού που αλλάζει γρήγορα ηλεκτρικά σήματα (On-Off Keying “OOK”) στη μνήμη RAM, μια διαδικασία που δεν παρακολουθείται ενεργά από προϊόντα
ασφαλείας και δεν μπορεί να επισημανθεί ή να σταματήσει.Τα δεδομένα που εκπέμπονται κωδικοποιούνται σε “1” και “0“, που αντιπροσωπεύουν τα ραδιοφωνικά σήματα “on” και “off“. Οι ερευνητές επέλεξαν να χρησιμοποιήσουν το Manchester code για να βελτιώσουν την ανίχνευση σφαλμάτων και να εξασφαλίσουν το συγχρονισμό του σήματος, μειώνοντας τις πιθανότητες για εσφαλμένες ερμηνείες του δέκτη.
Ο εισβολέας μπορεί να χρησιμοποιήσει ένα σχετικά φθηνό ραδιόφωνο που καθορίζεται από λογισμικό (SDR) με μια κεραία, για να αναχαιτίσει τις διαμορφωμένες ηλεκτρομαγνητικές εκπομπές και να τις μετατρέψει ξανά σε δυαδικές πληροφορίες.
Δείτε επίσης: Microchip Technology: Παραβίαση δεδομένων μετά από κυβερνοεπίθεση
Μια επίθεση πλευρικού καναλιού, όπως η RAMBO, είναι μια εκμετάλλευση ασφαλείας που επιδιώκει να συλλέξει πληροφορίες από τη φυσική υλοποίηση ενός συστήματος, αντί να στοχεύει απευθείας το λογισμικό ή τους αλγόριθμους. Αυτές οι επιθέσεις μπορούν να αξιοποιήσουν διάφορα κανάλια όπως πληροφορίες χρονισμού, κατανάλωση ενέργειας, ηλεκτρομαγνητικές διαρροές ή ακόμα και ήχο για την εξαγωγή ευαίσθητων δεδομένων κατά τη διάρκεια κρυπτογραφικών λειτουργιών. Για παράδειγμα, ένας εισβολέας μπορεί να αναλύσει το χρόνο που απαιτείται για την εκτέλεση κρυπτογραφικών υπολογισμών για να συμπεράνει τα μυστικά κλειδιά ή να εξετάσει τις διακυμάνσεις στη χρήση ενέργειας για την αποκρυπτογράφηση κρυπτογραφημένων πληροφοριών. Λόγω της εξάρτησής τους από τα φυσικά χαρακτηριστικά, οι επιθέσεις πλευρικού καναλιού μπορεί να είναι ιδιαίτερα δύσκολο να αντιμετωπιστούν, απαιτώντας έναν συνδυασμό ισχυρών πρακτικών λογισμικού και μέτρων φυσικής ασφάλειας για τον μετριασμό των κινδύνων.
Πηγή: bleepingcomputer